in

Alerte sécurité : des pages web pourraient manipuler Microsoft Copilot à votre insu

Microsoft Copilot

Votre assistant IA préféré n’est peut-être pas aussi fiable que vous le pensiez. Une alerte de sécurité révèle que certaines pages web malveillantes peuvent influencer Microsoft Copilot, lui faisant générer des réponses biaisées ou des contenus dangereux à l’insu de l’utilisateur. 

Le principe est simple : un simple texte caché dans une page peut suffire à détourner l’assistant de ses consignes. Ce type d’attaque soulève des questions sur la fiabilité des outils d’intelligence artificielle intégrés à notre quotidien. On vous explique le mécanisme et comment vous protéger.

Youtube video

Une faille critique permettait à un simple site piégé de manipuler Microsoft Copilot :

  • Une page web malveillante pouvait injecter des requêtes non vérifiées dans Copilot via Edge sur Android, sans alerte ni consentement.
  • La vulnérabilité CVE-2026-48561 a été corrigée : mettez à jour Edge et Copilot sans attendre, ou désinstallez l’application si vous ne l’utilisez pas.

Quelle est cette faille critique qui a failli transformer votre Copilot en espion involontaire ?

Tout d’abord, le Patch Tuesday du 14 juillet a révélé une vulnérabilité extrêmement sérieuse. En effet, la faille CVE-2026-48561 affiche un score CVSS de 9,6 sur 10, ce qui la place parmi les menaces les plus critiques.

Signalée par le chercheur Ofek Levin de la société Enclave, elle se logeait au cœur de l’assistant Microsoft Copilot. Par ailleurs, cette classification en fait une urgence absolue. De plus, sa nature permettait une attaque furtive, rendant l’utilisateur totalement aveugle face à une prise de contrôle potentielle de ses données.

Un simple site web piégé peut manipuler Microsoft Edge et Copilot sur Android

Ensuite, le mode opératoire de l’attaque était aussi simple que redoutable. Il suffisait à la victime de consulter un site web malveillant via Microsoft Edge pour Android. Ainsi, la page pouvait tromper le navigateur afin d’envoyer des requêtes spécialement conçues vers Microsoft 365 Copilot.

Le composant vulnérable acceptait alors ces invites sans aucune vérification de provenance, sans demander la moindre confirmation. Par conséquent, l’injection de commandes passait totalement inaperçue, permettant de lire ou de modifier des données à l’insu du propriétaire.

Un flou persiste autour des applications réellement touchées par cette vulnérabilité

Par ailleurs, la communication de Microsoft a introduit une certaine confusion. D’une part, l’avis de sécurité liste Microsoft 365 Copilot pour iOS et Android. D’autre part, le scénario d’attaque décrit ne mentionne explicitement que le navigateur mobile. De surcroît, les liens de mise à jour fournis renvoient vers l’application Microsoft Edge et non vers l’application Copilot.

De plus, aucun numéro de version corrigé n’est mentionné, alors que la version 150.0.4078.65 était déjà disponible le 13 juillet. Cette opacité empêche les utilisateurs de vérifier facilement s’ils sont protégés.

Quelles mesures immédiates devez-vous prendre pour sécuriser votre assistant IA ?

Heureusement, la faille n’a jamais été exploitée publiquement selon Microsoft, et aucun code malveillant fonctionnel ne circule. Néanmoins, la prudence reste de mise face à un score aussi élevé. La solution la plus fiable consiste à maintenir l’application Microsoft Edge et Copilot rigoureusement à jour via le Play Store ou l’App Store.

Si vous n’utilisez jamais Copilot sur votre téléphone, la mesure la plus radicale et la plus sûre consiste tout simplement à désinstaller l’application pour supprimer définitivement la surface d’attaque.

Les assistants IA sont-ils en train de devenir le maillon faible de notre cybersécurité quotidienne ?

Pour finir, cet incident s’inscrit dans une tendance inquiétante visant les interfaces des intelligences artificielles. Fin juin, de faux bloqueurs de publicités étaient parvenus à intercepter les conversations avec ChatGPT et Gemini.

Ainsi, les données que nous confions à ces assistants suscitent de plus en plus la convoitise des pirates. Par conséquent, il devient essentiel de vérifier les paramètres de stockage de vos conversations. Heureusement, il est également possible de désactiver Copilot et Facilitator dans Microsoft Teams pour réduire les risques au sein de l’environnement professionnel.

Restez toujours informé avec TECHNPLAY.COM !

Abonnez-vous à notre chaîne YouTube et ajoutez-nous à vos favoris sur Google Actualités pour ne rien rater.

Au cœur de l'équipe TechNPlay, en tant que rédactrice en chef, je suis votre sentinelle dédiée à l'univers fascinant des montres connectées et des véhicules électriques. Etant donné que la technologie évolue à la vitesse de la lumière, ces petits bijoux technologiques suscitent mon admiration et ma curiosité. Chaque avancée...

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *